[OS] Active Directory

hugingstar·2026년 1월 29일

Operating system

목록 보기

32/34

Active Directory (AD)는 MS에서 제공하는 Directory service이다. 네트워크에 연결된 Resource (사용자, 컴퓨터, 공유폴더, 프린터 등)를 중앙에서 관리하고 제어하는 서비스이다. AD는 사용자 인증, 권한, 정책 적용등을 효율적으로 관리할 수 있게 한다.

1. 관련용어

Directort service : 분산된 네트워크 정보를 중앙 저장소에 통합 저장하도록 하는 환경
AD DS(Active Directory Domain Service) : 자원들을 도메인 단위로 묶어서 관리한다.
LDAP(Lightweight Directory Access Protocol) + DNS = AD : AD를 설치하면 DNS도 함께 설치된다.
Tree / Forest
- Tree : Domain의 집합
- Forest : 2개 이상의 Tree로 구성된 집합
Trust : Domain 또는 Forest 사이의 신뢰 여부에 대한 관계를 나타내는 것.
Organization Unit(OU) : 조직 구성 단위, Domain 안에서 나눠지는 세부 단위
Domain Controller (DC) :
- Resource에 대한 작업을 처리하는 서버
- Domain당 하나 이상의 DC가 필수이다.
Global catalog(GC) : Trust에 포함되어 있는 Domain 개체에 대한 정보를 수집/ 저장하는 통합 저장소
Group policy (GP) / Group Policy Object (GPO)
- GP : 그룹에 대한 정책, AD내의 PC나 사용자에게 적용하는 정책
- GPO : GP를 생성 후 묶음, Domain 단위에 저장

2. Window 2022 서버

IP를 설정한다.

관리 탭으로 가서 Active Directory 도메인 서비스를 체크

기본 설정으로 놓고 다음으로 넘어가 설치를 진행한다.

깃발 부분을 보면 DC로 승격을 시켜주어야 한다.
(도메인 당 DC가 필요.)

새로운 도메인을 추가한다. 그리고, 복구용 비밀번호를 설정한다. (연습용 비번 사용)

도메인 이름을 확인 후, 다른 설정없이 넘어간다. (넘어가다보면, 컴퓨터도 다시 시작될 것이다.)

재부팅 완료되면, 표기가 약간 다른 것을 확인할 수 있다.

여기서, Window user를 정리해보면,

Window user
- Local user : 일반적인 Windows 환경의 사용자,
표기 방식 : [계정이름]
- Domain user : AD의 Domain 전체에 로그인 할 수 있는 사용자 (자리를 옮겨도 기존의 자료를 한번에 가져올 수 있다. 중앙에서 관리하고 있음.)
표기 방식 :
[계정이름]@[도메인], [도메인 이름][계정 이름]

lusrmgr.msc 치고 들어가보면 X 표시되어 있는 것을 볼 수 있다. (DC로 승격하지 않으면, 관리할 수 있다.)

lusrmgr.msc

sysdm.cpl에서 DC-17-00으로 변경, 그리고 재부팅한다.

sysdm.cpl

AD DS, 설정 완료

Window 10 설정

컴퓨터 이름과 도메인을 설정한다.
VMnet 0으로 맞추고 IP를 수정한다.

nslookup에서 server 10.17.0.241을 써보고, 아래의 내용을 작성한다.

set type=ns
yslee.ke

이 상태에서 ncpa.cpl의 DNS 부분을 바꿔준다.

컴퓨터 이름을 다시 설정해준다. 그리고 도메인 부분도 설정한다.

변경을 위해서 로그인한다. (X 에러창 뜰 수 있지만 확인 누르고 넘어간다.)

클라이언트 PC에서 administrator@yslee.ke로 로그인 해본다.

Window 2022에서 도메인에 등록한 리스트 확인

yslee.ke 도메인에 가입한 컴퓨터들의 목록을 확인할 수 있다. Win10 Client 등록한 것 확인할 수 있다.

dsa.msc

Win10 설정

작업 그룹을 WORKGROUP으로 바꾼다. 그리고 재부팅한다.

기타사용자 로그인 부분이 없어진다. 그리고 cmd를 켰을 때 계정부분 보이는게 local만 보인다. (도메인 이름이 사라짐.)

Win2022에는 접속한 기록이 남아 있다. 연결이 끊겼기 때문에 셧다운 되어 있음.

조직 구성 단위를 선정한다.
조직 이름을 TestOU로 입력한다.

새롭게 만든 조직에서 사용자를 추가한다. 2개 추가한다. 암호 기간 제한없음을 체크한다.

사용자를 위한 것을 다 만들었고, 그룹을 위한 것을 설정한다.

ShareAdmin, ShareUser를 등록한다.

ShareAdmin : 속성에 들어가서 설정한다. 내용을 적고 이름 확인을 누른다. User01 까지만 쓰고 이름 확인 누르면된다. 적용> 확인
ShareUser : User02를 등록한다.

오른쪽 위에 도구에서 그룹 정책 관리를 들어간다.

그룹 정책 개제에서 Control Panel Acees Deny로 이름을 입력한다.

우클릭해서 그룹 정책 관리 편집기에 들어가서 편집을 시작한다.

제어판으로 들어가서 지정된 제어판 항목 숨기기로 들어간다.

사용으로 변경한다.

표시 버튼을 눌러서 아래 내용을 작성한다. 그리고 적용하고 확인한다.

Microsoft.ProgramsAndFeature

이후에 GPO는 생성했지만 적용은 안된 상태가 만들어짐

그룹에서 우클릭해서 기존 GPO 연결

조금전에 만들어놓은 패널을 적용한다.

적용을 했으므로 gpupdate를 실행해준다.

gpupdate /force

Win10 user01, user02

user01은 도메인 yslee.ke로 다시 시작
user02를 생성한다. user02도 도메인 yslee.ke로 시작한다.

sysdm.cpl

user01에서 제어판 프로그램 부분 들어가보면 프로그램 및 기능, 기본 프로그램만 남은 것을 볼 수 있다.

user02에서도 정책이 실행된 것 확인

Win2022-Shared 새로 만듬

공유 파일 서버로 사용하는 목적이다. Brided로 하나 만들어준다.
IP를 설정해준다.
멤버이름을 설정해주었다. 도메인도 함께 설정
(241에서 정의한 도메인과 연결)

여기보면 에러가 발생하였다.

Win2022-Shared에서 SID를 확인한다.

whoami /user

에러 발생 이유를 찾기 위해서 SID를 살펴본다.
SID를 확인해보니 동일하다. 앞에 S-1-5-21은 Windows system을 의미한다. 그리고 뒤에 -500 전까지는 Domain 구분자이다. 마지막 500은 UID이고 administrator는 500으로 고정되어 있다.
즉, Domain구분자를 실행파일로 변경해야 한다.

Win2022-Shared SID
S-1-5-21-2255598698-1855558831-2466241399-500

DC의 SID
S-1-5-21-2255598698-1855558831-2466241399-500

Win2022-Shared에서 C: 위치에서 sysprep을 검색한다. 그리고 들어가서

sysprep

여기서 일반화를 선택해야한다. 그럼 부팅이 될 것이다. (Win2022-Shared의 SID를 바꾸는 과정이다.)
재부팅되면 한국어 선택하고, 아이디 Administrator 지정되어 있을태니 비밀번호 치고 로그인한다.

SID를 다시 확인해본다.

Win2022-Shared SID가 새롭게 바뀌었다.

Win2022-Shared SID
S-1-5-21-2255598698-1855558831-2466241399-500
Win2022-Shared SID 새로바뀐거
S-1-5-21-2311000736-3001167436-3541090248-500

DC의 SID
S-1-5-21-2255598698-1855558831-2466241399-500

-Win2022-Shared를 다시보면, IP랑 초기화 되어 있어서 다시 설정해야한다.